Hardening Checkliste. Windows 2003 Intranet Basis. 30. November 2004

Transkript

1 Hardening Checkliste Windows 2003 Intranet Basis 30. November 2004 Name des Dokument: Checkliste_Win2K3_Intranet_Basis_V1.7.doc Version: V 1.7 Autor: Christoph Schnidrig, Compass Security AG Erstellungsdatum: 28. Mai 2003 Anpassungsdatum: 30. November 2004 Lizenznehmer: Company Name GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 1 Datum: 30. Nov. 2004

2 Inhaltsverzeichnis 1 ÜBERSICHT Audienz Dokumentstruktur Weitere Checklisten Versionskontrolle 5 2 EINFÜHRUNG Disclaimer Lokale-, Netzwerk- und Applikationssicherheit Hardening (Get Secure) Umfeld Übersicht Vorgehen Policy Test Top Schwachstellen bei Windows Systemen 12 3 PLANUNG Berechtigungen Domain Trust Schwachstelle OU-Plan Priorität der Group Policy Security Management (Stay Secure) 15 4 HARDENING DOMAIN Account Policies Security Options Zusätzliche Domain Default Policies 18 5 HARDENING MEMBER SERVER Installation System Configuration Auditing User Rights Assignments Security Options Event Log System Services Additional Registry Settings Additional Security Settings 61 6 HARDENING DOMAIN CONTROLLER (ADS) Installation System Configuration User Rights Assignments Security Options System Services 69 GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 2 Datum: 30. Nov. 2004

3 6.6 Additional Security Settings 70 7 ANHANG Security Templates Default Templates Import von Security Templates (Standard) Group Policy Management Console (GPMC) Group Policy Tools Forcing a Group Policy Update Viewing the Resultant Set of Policies Administrative Tools Time Service Relevante Servicepacks und Hotfixes Automatischer Patch Check (MBSA) Software Update Services (SUS) Installation und Konfiguration von SUS Client Installation und Konfiguration (Windows Update) Update-Vorgang Erzwingen des Updates NT 4 Compliance Links 87 GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 3 Datum: 30. Nov. 2004

4 1 Übersicht 1.1 Audienz Diese Checkliste richtet sich an technische Sachverständige. Grundwissen im Bereich von Windows 2003 wird vorausgesetzt. 1.2 Dokumentstruktur Kapitel Inhalt 1 Übersicht über dieses Dokument. 2 Einführung in das Vorgehen beim Hardening 3 Vorschläge zur Planung 4 Hardening-Massnahmen für Domänen 5 Hardening-Massnahmen für Member Server 6 Hardening-Massnahmen für Domänen Kontroller 7ff Anhang 1.3 Weitere Checklisten Compass Security bietet nebst dieser Hardeninganleitung folgende verwandte Listen an. Alle diese Listen sind für Intranet-Systeme optimiert. Wenden Sie sich bei Interesse an info@csnc.ch. Hardeninganleitung Windows 2003 Intranet Basis Exchange 2003 SQL 2003 Internet Information Server 6.0 for Intranet Beschreibung Hardeningempfehlungen für Memberserver, Domaincontroller sowie ADS. Hardeningempfehlungen für Exchange 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für SQL 2003 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) Hardeningempfehlungen für IIS 6.0 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 4 Datum: 30. Nov. 2004

5 Hardeninganleitung Windows XP Professional ISA 2004 Beschreibung Hardeningempfehlungen für domänenzugehörige Workstations mit Windows XP Proffessional Hardeningempfehlungen für ISA 2004 Server. Vorausgesetzt wird das Hardening des Betriebsystems (siehe Intranet Basis Liste) 1.4 Versionskontrolle Version Datum Änderungen Autor Erste Version Christoph Schnidrig Kapitel 2.3.2, 7.1 und 7.2 eingefügt Neue Group Policy Management Console beschrieben Nummerierung der Punkte angepasst SNMP Service Einstellungen geändert Terminal Services Hardening erweitert. Siehe Kapitel 5.9 Setzen des lokalen Admin Passwortes. Siehe Kapitel 5.2 Zu installierende Hotfixes. Siehe Kapitel 7.4 Einge Bugs im Dokument gefixt Diverse textuelle Anpassungen Erneuerung der Top10 Liste. Siehe Kapitel Neusortierung der Empfehlungen Aktualisierung der relevanten Patches. Siehe Kapitel 7.4 Update des Kapitels 5.1 Christoph Schnidrig Christoph Schnidrig Christoph Schnidrig Lizenznehmer im Seitenkopf eingefügt. Jan P. Monsch Fehler in der Dokumentenstrukturtabelle behoben. Jan P. Monsch GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 5 Datum: 30. Nov. 2004

6 Version Datum Änderungen Autor Empfehlungen bezüglich Policy Tests eingefügt. Siehe Kapitel Default Policies können entfernt werden. Siehe Kapitel Hinweis bezüglich des Imports der INF-Files bei DC s. Siehe Kapitel 3.2 Diverse Einstellugen geändert NT4 Compliance eingearbeitet. Siehe Kapitel und 7.6 Tool für automatische Patchchecks. Siehe Kapitel Zu installierende Hotfixes. Siehe Kapitel Neue Checkliste verfügbar (ISA 2004) Top10 Windows Schwachstellen aktualisiert Abgleich mit der Default Policy, zusätzlich entsprechende Einstellung eingefügt Christoph Schnidrig Christoph Schnidrig GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 6 Datum: 30. Nov. 2004

7 2 Einführung 2.1 Disclaimer Im folgenden ein Auszug aus den Vertragsvereinbarungen zwischen dem Kunden und Compass bezüglich Gewährleistung und Haftung: Compass gewährleistet, dass der Vertragsgegenstand sämtlichen Compass zum Zeitpunkt des Vertragsschlusses bekannten technischen Standards entspricht. Compass übernimmt jedoch keinerlei Gewähr dafür, dass der Vertragsgegenstand fehlerfrei ist; dass durch den Einsatz des Vertragsgegenstandes sämtliche Angriffsmöglichkeiten in das System des Kunden ausgeschlossen werden; dass das System des Kunden nach dem Einsatz des Vertragsgegenstandes in jedem Falle einwandfrei funktioniert. Compass lehnt sodann jede Gewährleistung ab, falls der Kunde den Vertragsgegenstand entgegen ausdrücklichen Anweisungen von Compass eingesetzt hat. Compass lehnt jede Haftung für direkte oder indirekte Schäden, die beim Einsatz des Vertragsgegenstandes entstanden sind, ab. Vorbehalten bleiben Fälle, bei denen Compass Absicht oder Grobfahrlässigkeit nachgewiesen werden kann. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 7 Datum: 30. Nov. 2004

8 2.2 Lokale-, Netzwerk- und Applikationssicherheit Um ein Netzwerk sicher zu konfigurieren müssen folgende Stufen betrachtet werden. Diese Stufen beschreiben die verschiedenen Problembereiche, welche von Hackern angegriffen werden. Stufe Definition Gegenmassnahmen Lokale Sicherheit Netzwerk Sicherheit Applikationssicherheit Überwachung Der Angreifer hat bereits Zugriff auf das System. Nun versucht er seine Privilegien zu erweitern. (Local Exploits) Der Angreifer hat noch keinen Zugriff auf dem Opfersystem. Nachdem scannen versucht er Schwachstellen auszunutzen um Zugriff zu erlangen. (Remote Exploits) Der Angreifer sucht den Zugriff auf eine E-Business Applikation. Findet er diesen versucht er die Daten eines anderen Benutzers einzusehen. Analyse (automatische wie auch manuelle) der Logfiles und des Netzwerkverkehrs. Hardening Patchen Hardening Firewall Sicherheitsbewusste Entwicklung von Webapplikationen Loganalyse Tools Intrusion Detection Systeme GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 8 Datum: 30. Nov. 2004

9 2.3 Hardening (Get Secure) Standardinstallationen bergen eine Unmenge von sicherheitstechnischen Problemen. Die Ursachen dazu sind: Rückwärts Kompatibilität Funktionalität Hinzu kommen weitere Sicherheitslücken, die von Administratoren und Benutzern während dem Betrieb geschaffen werden: Schlechte Rechtevergabe Schwache Passwörter Sicherheitstechnisch schwache Konfigurationen Veralteter Patchlevel usw. Man sieht eine Unmenge von Bereichen die von Hackern ausgenutzt werden können. Brisant ist, dass auch ein Nichts tun Probleme verursachen kann (z.b. Installation des neusten Servicepacks). Um ein neu installiertes System auf einen sicheren Stand zu bringen, wird es einem Hardening unterzogen. Beim Hardening werden unter anderem die oben genannten Punkte angegangen. Dabei erscheinen die einzelnen Schritte als unnötig. Die Güte von Sicherheit kann mittels Anreihung von Hürden definiert werden. Jede noch so kleine Hürde ist eine weitere Massnahme, die den Weg eines Angreifers erschwert resp. versperrt Umfeld Diese Checkliste wurde für die Zusammenarbeit mit folgenden Betriebsystemen entwickelt: Windows 2003 Domain im Native Mode Windows XP, 2000 und NT Workstations Windows 2003, 2000, und NT Member Server Im Anhang ist ein Kapitel (siehe 7.6) eingefügt, welches die Einstellungen auflistet, die zusätzlich ein- resp. ausgeschaltet werden können, wenn keine NT4 Computer mehr benutzt werden. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 9 Datum: 30. Nov. 2004

10 2.3.2 Übersicht Untenstehende Abbildung illustriert die verschiedenen Tätigkeiten, welche in dieser Hardeninganleitung beschrieben werden. Leider können nicht alle Einstellungen automatisiert angewendet werden. Im Group Policy Object Editor sind diejenigen Einstellung die nicht unter Windows Settings-Security Settings gemacht werden können, manuell einzugeben. Die meisten Settings unter Windows Settings-Security Settings können automatisiert und einfach mittels einer INF-Datei eingelesen werden. Der Import von ADM-Dateien erweitern die Einstellungsmöglichkeiten unter Administrative Templates. So können umfangreiche Einstellungen auf dem Client einfach über die ganze Firma verteilt werden. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 10 Datum: 30. Nov. 2004

11 2.3.3 Vorgehen Weil beim Hardening oftmals die Funktionalität gegen Sicherheit ersetzt wird, können vielseitige und komplexe Probleme auftreten. Wenn nicht genau verstanden wird, was welche Einstellung bezweckt und blind einer Checkliste gefolgt wird, könnten Applikationen den Dienst quittieren. Deshalb ist es wichtig das Hardening auf das entsprechende Unternehmungsnetzwerk anzupassen. Obwohl die vordefinierten Sicherheitsvorlagen (.inf-dateien) zu einem zügigen Vorgehen einladen, wird dringend empfohlen, die in dieser Checkliste aufgeführten Punkte durchzugehen und zu hinterfragen. Folgende Punkte sollten bei einem Hardening beachtet werden: Adaption von Empfehlungen auf das eigenen Unternehmensnetzwerk Strukturiertes Vorgehen in Teilschritten Vorgängiges Überprüfen (Testumgebung) Dokumentation von geprüften Konfigurationen (Sicherstellen der Wiederverwendbarkeit) Hilfestellungen bei Problemen: Einkreisung des Problems Was könnte dieses Problem verursachen (Vergleich mit der Checkliste) Strukturierte Suche und Unhardening in Teilschritten (Achtung: Keine zusätzliche Sicherheitsprobleme schaffen wie z.b. Zuordnung von Administrator-Rechten oder Everyone-Zugriffen) Eventlogs und Fehlermeldungen auswerten und in der TechNet Knowledgebase nach Lösungen suchen Policy Test Es wird dringend empfohlen die neu erstellten Policies zu testen. Dies kann im Rahmen einer Testumgebung geschehen. Auch wird empfohlen die Policies nicht gleich auf alle Server zu applizieren. Es sollen eigene Test-OU s erstellt werden, auf welche die Policies in einem ersten Schritt angewendet werden. Danach werden einzelne Server resp. Workstations in die Test-OU s verschoben. So kann die Policy zuerst getestet werden bevor diese in die produktive Umgebung installiert wird. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 11 Datum: 30. Nov. 2004

12 2.3.5 Top Schwachstellen bei Windows Systemen Die grosse Mehrheit von erfolgreichen Attacken nützt eine kleine Anzahl von Schwachstellen aus. Es wird immer der Weg des geringsten Widerstandes gesucht. Oftmals existieren für solche Schwachstellen einfache Tools, die von jedem Hobbyhacker angewendet werden können. Werden auf dieser Basis Würmer gebaut resultieren daraus fatale Folgen. SANS hat in Zusammenarbeit mit dem FBI eine Liste zusammengestellt, in welcher auf die grössten und meist ausgenutzten Schwachstellen für Unix und Windows hingewiesen wird. Untenstehend sind die entsprechenden Punkte für Windows Systeme abgedruckt. # Schwachstelle Gegenmassnahmen 1 Web Servers & Services Hardening Regelmässiges Patchen 2 Workstation Service Hardening Regelmässiges Patchen 3 Windows Remote Access Services Hardening (Kapitel 5.5) 4 Microsoft SQL Server (MSSQL) Hardening Regelmässiges Patchen 5 Windows Authentication Hardening (Kapitel 5.5) 6 Web Browsers Hardening (Kapitel 5.9) Regelmässiges Patchen Proxy mit Content Filter und Virenscanner 7 File-Sharing Applications Interne Richtlinien sollten den Gebrauch solcher Software verbieten. Firewall sollte die benutzen Protokolle blocken. 8 LSAS Exposures Firewallregeln Regelmässiges Patchen 9 Mail Client Deinstallation von Outlook Express. Hardening von Outlook gemäss Kapitel Instant Messaging Deinstallation von Messenger (Kapitel 5.1) Firewallregeln ActiveX verbieten (Kapitel 5.9) GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 12 Datum: 30. Nov. 2004

13 3 Planung 3.1 Berechtigungen Auf Berechtigungen auf Freigabeebene wird hier nicht genauer eingegangen. Es möchte hier nur auf folgende goldene Regel der Sicherheit aufmerksam gemacht werden. Least Privilege Prinzip - Genau soviel wie nötig So kann nicht nur Datenklau und unberechtigter Dateneinsicht verhindert werden, sondern auch der Wirkungskreis von Viren eingegrenzt werden. z.b. Iloveyou (Loveletter Virus) überschrieb viele Dateien auch auf gemappten Laufwerken Domain Trust Schwachstelle Es möchte hier auf eine bekannte Schwachstelle in Windows 2000 und 2003 aufmerksam gemacht werden. Es ist jedem Benutzer, der mit administrative- oder Backup/Restore-Rechten auf einer Domäne innerhalb eines Forest ausgestattet ist, möglich auf dem gesamten Domänenverbund Adminrechte zu erlangen. Dazu gibt es keinen Patch, tief greifende Änderungen im Design vom Active Directory wären nötig diese Schwachstelle zu stopfen. Jedoch muss der Angreifer über ein relativ grosses Know-how verfügen und es bleibt in Frage gestellt ob er den gewünschten Zugriff nicht einfacher erreichen könnte. Weiterführende Informationen zu dieser Schwachstelle: OU-Plan Mittels Organisationseinheiten (Organizational Unit) werden Objekte im Active Directory organisiert. Gleiches wird dabei gruppiert. Es handelt sich dabei um: Benutzer Computer Drucker andere OUs OUs werden für folgende Tätigkeiten eingesetzt: Delegieren der Verwaltung an AD-Objekte (Admin Gruppen Rechte zuweisen) OUs sind keine sind keine Sicherheitsprinzipals Organisieren von Ressourcen, nicht Festlegen von Berechtigungen (Dies wird über Gruppen bewerkstelligt) Gruppenrichtlinien wird auf OU Gruppenrichtlinien festgelegt GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 13 Datum: 30. Nov. 2004

14 OUs sind für die Verwaltung bestimmt und für Benutzer unsichtbar Wie nun die OU Struktur festgelegt wird, muss im Einzelnen entschieden werden. Rudimentär betrachtet müssen folgende Punkte beachtet werden (untenstehende Aufteilung soll lediglich als Beispiel betrachtet werden): Erstellen von OUs zum Delegieren von Verwaltungsaufgaben o OUs nach physischen Standort (Vorteilhaft für Drucker und Computer) o OUs nach Geschäftsbereich (Geeigneter für Benutzerkonten) Erstellen von OUs für die Zuweisung von Gruppenrichtlinien (Security Templates) o OUs nach Funktion oder Aufgabe (Benutzer und Server) Untenstehende Abbildung zeigt ein Beispiel für die Anwendung der Security Templates auf Server auf. Achtung: Besondere Beachtung gilt es dabei der Domain Controller Policy geschenkt werden. Es muss da zuerst das Member Server INF-File und danach das Domain Controller INF-File importiert werden. Ansonsten werden auf den DC s sämtliche ADS-Dienste gestoppt! GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 14 Datum: 30. Nov. 2004

15 3.3 Priorität der Group Policy Mittels Group Policies können die einzelnen Einstellungen angewendet werden. Da diese Policy einer Gruppe (OU) zugeordnet wird, werden die Einstellungen auf allen Servern in der entsprechenden OU übernommen. Werden neue Objekte in OUs mit aktiven Group Policies verschoben, erhalten diese Objekte automatisch die definierten Einstellungen. Group Policies können auf verschiedenen Stufen angelegt werden. Folgende Liste zeigt die Reihenfolge der Zuordnung der Policies. 1. Local Policy 2. Site Policy 3. Domain Policy 4. Parent OU Policy 5. Child OU Policy (geschachtelte OU) Werden die gleichen Einstellungen in verschiedenen Stufen festgelegt, entspricht die zu letzt Zugeordnete der effektiven Einstellung. In den Eigenschaften der Group Policy kann die Option No Override angewählt werden. In diesem Fall wird die entsprechende Policy nicht überschrieben. 3.4 Security Management (Stay Secure) Das Hardening und somit die Empfehlungen in diesem Dokument konzentrieren sich auf die Sicherung eines Systems zu einem bestimmten Zeitpunkt. Da im Laufe der Zeit neue Erkenntnisse und Schwachstellen auftauchen, schwindet der Sicherheitslevel. Zudem ist das System selber einem Wandel ausgesetzt. D.h. Software wird installiert und Konfigurationen werden geändert. Aus diesen Gründen ist ein Security Management, welches folgende Tätigkeiten beinhaltet, unablässig. Zweckmässiges Logging und Kontrolle der Logs (siehe Anhang) Installation und Betrieb eines IDS Abonnieren aller relevanten Security Newsletter (siehe Anhang) Regelmässige Updates (Hotfixes, Updates) Regelmässige Vulnerability Scans im Intranet (z.b. Nessus, LanGuard, ) Regelmässige Passwort Audits (z.b. L0pht, Cain, ) GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 15 Datum: 30. Nov. 2004

16 4 Hardening Domain Wirkungskreis Anwendung Compass Template Name Dieses Kapitel beschreibt die domänenweiten Sicherheitseinstellungen. Diese wird auf jedes System, welches der Domäne oder einer Subdomäne angehört, angewendet. Die entsprechende INF-Datei wird auf die Root-Domäne angewendet. Siehe Kapitel 7.1. Intranet_Baseline_Security_Domain_CSNC_V1.1.inf Die Werte der standardmässig aktiven Policies sind jeweils aufgeführt. Standardmässig gibt es zwei Policies, eine auf Domänenebene (Default Domain Policy) und eine auf Domain-Controller-Ebene (Default Domain Controller Policy). In der Tabellen wurden folgende Abkürzungen verwendet: DDP = Default Domain Policy, DDCP = Default Domain Controller Policy 4.1 Account Policies Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4100 Kontosperrdauer Account Lockout Policy: Account lockout duration 30 minutes 4101 Kontosperrungsschwelle DDP: 0 invalid login attempts Account Lockout Policy: Account lockout threshold 5 invalid logon attempts 4102 Zurücksetzungsdauer des Kontosperrungszählers Account Lockout Policy: Reset account lockout counter after 30 minutes 4103 Erzwingen einer Kennwortchronik DDP: 24 passwords remembered Password Policy: Enforce password history 24 passwords remembered Seite: 16 Datum: 30. Nov. 2004

17 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4104 Maximales Kennwortalter DDP: 42 days Password Policy: Maximum password age 60 days 4105 Minimales Kennwortalter DDP: 1 day Password Policy: Minimum password age 2 days 4106 Minimale Kennwortlänge DDP: 7 characters Password Policy: Minimum password length 8 characters 4107 Kennwort muss einer gewissen Komplexität entsprechen. Die Passwörter müssen dabei folgende Kriterien erfüllen: Der Username oder Teile davon sind nicht erlaubt Kennwort Minimumlänge 6 Zeichen Drei von den folgenden Zeichenkategorien müssen im Kennwort vorhanden sein: (A-Z, a-z, 0-9, Sonderzeichen) DDP: Enabled Password Policy: Password must meet complexity requirements Enabled 4108 Passwörter sollen nicht mit einer reversiblen Verschlüsselung gespeichert werden. DDP: Password Policy: Store passwords using reversible encryption Enabled 4.2 Security Options Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4200 Die Verbindung von Benutzer denen die Login-Zeit beschränkt wurde soll nach Ablauf der entsprechenden Zeitgrenze unterbrochen werden. Microsoft network server: Disconnect clients when logon hours expire Enabled Seite: 17 Datum: 30. Nov. 2004

18 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 4201 Anonymen Benutzern wird eine SID/Benutzernamen Umsetzung verweigert. Network access: Allow anonymous SID/Name translation Not defined Falls diese Funktion abgeschaltet wird, wird die Funktion von RAS, SQL und Exchange Servern auf NT4.0 eingeschränkt! 4202 Die Verbindung von Benutzer denen die Login-Zeit beschränkt wurde soll nach Ablauf der entsprechenden Zeitgrenze unterbrochen werden. DDP: Enabled Network security: Force logoff when logon hours expire Enabled 4.3 Zusätzliche Domain Default Policies Nr. Sicherheitseinstellung Bemerkung 4300 Kerberos Policy: Enforce user logon restrictions Enabled 4301 Kerberos Policy: Maximum lifetime for service ticket 600 minutes 4302 Kerberos Policy: Meximum lifetime for user ticket 10 hours 4303 Kerberos Policy: Maximum lifetime for user ticket renewal 7 days 4304 Kerberos Policy: Maximum tolerance for computer clock synchronization 5 minutes Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Seite: 18 Datum: 30. Nov. 2004

19 Nr. Sicherheitseinstellung Bemerkung 4305 Public Key Policies/Autoenrollment Settings: Enroll certificates automatically Enabled 4306 Public Key Policies/Autoenrollment Settings: Renew expired certificates, update pending certificates, and remove revoked certificates 4307 Public Key Policies/Autoenrollment Settings: Update certificates that use certificate templates 4308 Public Key Policies/Encrypting File System: Allow users to encrypt files using Encrypting File System (EFS) Enabled 4309 Public Key Policies/Encrypting File System/Certificates Certificate of administrator in order to recovery deleted files 4310 Public Key Policies/Trusted Root Certification Authorities: Allow users to select new root certification authorities (CAs) to trust Enabled 4311 Public Key Policies/Trusted Root Certification Authorities: Client computers can trust the following certificate stores Third-Party Root Certification Authorities and Enterprise Root Certification Authorities 4312 Public Key Policies/Trusted Root Certification Authorities: To perform certificate-based authentication of users and computers, CAs must meet the following criteria Registered in Active Directory only Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Default Domain Policy Seite: 19 Datum: 30. Nov. 2004

20 5 Hardening Member Server Wirkungskreis Anwendung Compass Template Name Dieses Kapitel beschreibt die Sicherheitseinstellungen allen Windows 2003 Server, die als Domänenmitglieder konfiguriert sind. Die entsprechende INF-Datei wird auf die entsprechende OU angewendet (Memberserver). Siehe Kapitel 7.1. Intranet_Baseline_Security_MemberServer_CSNC_V1.3. inf Manuelle Eingriffe, die nicht via den Group Policies gemacht werden können, müssen auf jedem System einzeln getätigt werden! 5.1 Installation Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5100 Keine Standard-Verzeichnisse wählen Z.b c:\win2k3 und c:\win2k3\ads Manueller Eingriff 5101 NTFS für alle Dateisysteme einsetzen Damit Berechtigungen vergeben können, müssen alle Partitionen mit NTFS formatiert werden. Bestehende FAT Partitionen können mittels convert konvertiert werden Konfiguration der Länder- und Zeiteinstellung Deutsch (Schweiz) und entsprechende Zeitzone während der Installation auswählen Manueller Eingriff Manueller Eingriff 5103 Keine Installation von Client-Software (z.b. Outlook, Word, Excel ) auf dem Server Auf dem Server sollen keine Officearbeiten erledigt werden. Auch das Surfen im Internet soll weit möglichst eingegrenzt werden. Manueller Eingriff 5104 Aufteilung der Programme und Daten auf separate Partitionen Die Daten (z.b Webroot bei einem IIS) sollten auf eine separate Partition verschoben werden. Manueller Eingriff Seite: 20 Datum: 30. Nov. 2004

21 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5105 Entfernen von unnötigen Programmen Entfernen von: Aktualisierung von Stammzertifikaten MSN Explorer Netzwerkdienste Outlook Express Windows Messenger Danach sind nur noch folgende Komponenten aktiv: Indexdienst, Internet Explorer, Windows Media Player und einige Zubehör- und Dienstprogramme. Manuell Systemsteuerung Software PS: Zusätzliche Komponenten können entfernt werden, werden aber in der Ansicht versteckt. Um das zu Umgehen editiert man die Datei C:\Windows\inf\sysoc.inf und entfernt überall das Wort HIDE. 5.2 System Configuration Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5200 Installation des aktuellsten Service Packs Siehe sp und p Manueller Eingriff 5201 Konfiguration des automatischen Updates für betriebssystembasierte Hoffixes 5202 Konfiguration der domänenweiten Zeitsynchronisation Benutzung von SUS. Siehe Kapitel Manueller Eingriff Siehe Kapitel 7.1 Manueller Eingriff Seite: 21 Datum: 30. Nov. 2004

22 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5203 Einschalten des Remote Desktop Zugriffes Rechts Klick auf My Computer und den Tab Remote auswählen. Danach Allow users to connect remotely tho this computer auswählen. Unter Select Remote Users alle unerwünschten Accounts entfernen. - Manueller Eingriff 5204 Installation und Konfiguration eines Virenscanners Installation eines Virenscanners der das neue API z.b Norton 8.1) von Windows 2003 benutzt. Konfiguration von regelmässigen Updates (min. 1 mal täglich) Manueller Eingriff 5205 Setzen eines starken Passworts für den lokalen Administrator. Vorzugsmässig sollte nicht auf allen Servern das selbe Passwort für den lokalen Administrator verwendet werden. Auf jeder Maschine soll ein anderes Passwort für den lokalen Administrator gewählt werden. Folgende Richtlinien sollen dabei eingehalten werden: Der Username oder Teile davon sind nicht erlaubt Kennwort Minimumlänge 6 Zeichen Drei von den folgenden Zeichenkategorien müssen im Kennwort vorhanden sein: (A-Z, a-z, 0-9, Sonderzeichen) Manueller Eingriff Seite: 22 Datum: 30. Nov. 2004

23 5.3 Auditing Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5300 Anmeldeereignisse überwachen DDCP: Sucess, Failure Audit account logon events Success, Failure 5301 Kontenverwaltung überwachen DDCP: No auditing Audit account management Success, Failure 5302 Active Directory-Zugriff überwachen DDCP: No auditing Audit directory service access Success, Failure 5303 Anmeldeversuche überwachen DDCP: Success Audit logon events Success, Failure 5304 Objektzugriffsversuche überwachen Das Einschaltet dieser Option löst noch keine Logeinträge aus. Eine separate Funktion auf den entsprechenden Objekten (z.b. Dateien, Verzeichnisse) muss erst noch eingeschaltet werden. DDCP: No auditing Audit object access Success, Failure 5305 Richtlinienänderungen überwachen DDCP: No auditing Audit policy change Success 5306 Rechteverwendung überwachen DDCP: No auditing Audit privilege use No auditing 5307 Prozessverfolgung überwachen DDCP: No auditing Audit process tracking No auditing 5308 Systemereignisse überwachen DDCP: No auditing Audit system events Success Seite: 23 Datum: 30. Nov. 2004

24 5.4 User Rights Assignments Es gilt hier zu beachten, dass viele Einstellungen in diesem Bereich von Software wie Management Tools oder Server Applikationen (z.b. SQL, Exchange...) erweitert werden. Diese Einstellungen werden aussschliesslich auf der lokalen Maschine getätigt. Sind jedoch die gleichen Einstellungen per Group Policies definiert, werden die Modifikationen (durchgeführt durch die Installationsroutinen der Applikationen) überschrieben und sind nicht mehr gültig. Darum sind nur wenige Einstellungen per Group Policy definiert. Es wird auch dringenst empfohlen, nach der Installation des neuen Servers resp. Applikation die allefalls lokal getätigten Einstellungen zu prüfen und mit der Group Policy zu vergleichen. Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5400 Auf diesen Computer vom Netzwerk aus zugreifen DDCP: Administrators, Authenticated Users, ENTERPRISE DOMAIN CONTROLLERS, Everyone, Pre-Windows 2000 Compatible Access Access this computer from the network Not Defined 5401 Einsetzen als Teil des Betriebssystems DDCP: Nobody Act as part of the operating system Not Defined 5402 Hinzufügen von Arbeitsstationen zur Domäne DDCP: Authenticated Users Add workstations to domain Not Defined 5403 Anpassen von Speicherkontingenten für einen Prozess DDCP: Administrators, LOCAL SERVICE; NETWORK SERVICE Adjust memory quotas for a process Not Defined 5404 Lokal anmelden DDCP: Account Operators, Administrators, Backup Operators, Print Operators, Server Operators Allow log on locally Not defined Entfernen Sie bei den lokalen Einstellungen die Gruppe Benutzer resp. Users vom Allow log on locally -Recht Anmeldung über Terminaldienste zulassen DDCP: Not defined Allow log on through Terminal Services Administrators, Remote Desktop User Seite: 24 Datum: 30. Nov. 2004

25 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5406 Sichern von Dateien und Verzeichnissen DDCP: Administrators, Backup Operators, Server Operators Back up files and directories Not Defined 5407 Auslassen der durchsuchenden Überprüfung DDCP: Administrators, Authenticated Users, Everyone, Pre-Windows 2000 Compatible Access Bypass traverse checking Not Defined 5408 Ändern der Systemzeit DDCP: Administrators, Server Operators Change the system time Not Defined 5409 Erstellen einer Auslagerungsdatei DDCP: Administators Create a pagefile Not Defined 5410 Erstellen eines Tokenobjekts DDCP: Nobody Create a token object Not Defined 5411 Erstellen von globalen Objekten DDCP: Administrators, SERVICE Create global objects Not Defined 5412 Erstellen von dauerhaft freigegebenen Objekten DDCP: Nobody Create permanent shared objects Not Defined 5413 Debuggen von Programmen DDCP: Administrators Debug programs Not Defined 5414 Zugriff vom Netzwerk auf diesen Computer verweigern DDCP: Nobody Deny access to this computer from the network ANONYMOUS LOGON Wird die Gruppe Guests hier eingetragen, funktionieren sämtliche Webserver in der Domäne nicht mehr, da der IUSR-Benutzer in der Gruppe Guest Mitglied ist Anmeldung als Batchauftrag verweigern DDCP: Nobody Deny log on as a batch job Guests Seite: 25 Datum: 30. Nov. 2004

26 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5416 Anmeldung als Dienst verweigern DDCP: Nobody Deny log on as a service Not Defined 5417 Lokale Anmeldung verweigern DDCP: Nobody Deny log on locally Not defined 5418 Anmeldung über Terminaldienste verweigern DDCP: Not Defined Deny log on through Terminal Services Built-in Administrator, Guests, Guest, Support_388946a0, all NON-Operating System service accounts (e.g. Exchange, SQL ) Manueller Eingriff 5419 Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird DDCP: Administrators Enable computer and user accounts to be trusted for delegation Not Defined 5420 Erzwingen des Herunterfahrens von einem Remotesystem aus DDCP: Administrators, Server Operators Force shutdown from a remote system Not Defined 5421 Generieren von Sicherheitsüberwachungen DDCP: LOCAL SERVICE, NETWORK SERVICE Generate security audits Not Defined 5422 Starten von Programmen unter einem anderen Benutzer (runas) Achtung: Diese Privileg dürfen nur Administratoren besitzen! DDCP: Administators, SERVICE Impersonate a client after authentication Not Defined 5423 Anheben der Zeitplanungspriorität DDCP: Administrators Increase scheduling priority Not Defined 5424 Laden und Entfernen von Gerätetreibern DDCP: Administrators Load and unload device drivers Not Defined 5425 Sperren von Seiten im Speicher DDCP: Nobody Lock pages in memory Not Defined Seite: 26 Datum: 30. Nov. 2004

27 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5426 Anmelden als Stapelverarbeitungsauftrag DDCP: Nobody Log on as a batch job Not Defined 5427 Als Dienst anmelden DDCP: Nobody Log on as a service Not Defined 5428 Verwalten von Überwachungs- und Sicherheitsprotokollen DDCP: Administrators Manage auditing and security log Not Defined 5429 Verändern der Firmwareumgebungsvariablen DDCP: Administrators Modify firmware environment values Not Defined 5430 Durchführen von Volumewartungsaufgaben DDCP: Not defined Perform volume maintenance tasks Not Defined 5431 Erstellen eines Profils für einen Einzelprozess DDCP: Administrators Profile single process Not Defined 5432 Erstellen eines Profils der Systemleistung DDCP: Administrators Profile system performance Not Defined 5433 Entfernen des Computers von der Dockingstation DDCP: Administrators Remove computer from docking station Not Defined 5434 Ersetzen eines Tokens auf Prozessebene DDCP: LOCAL SERVICE, NETWORK SERVICE Replace a process level token Not Defined 5435 Wiederherstellen von Dateien und Verzeichnissen DDCP: Administrators, Backup Operators, Server Operators Restore files and directories Administrators 5436 Herunterfahren des Systems DDCP: Account Operators, Administrators, Backup Operators, Print Operators, Server Operators Shut down the system Not Defined Seite: 27 Datum: 30. Nov. 2004

28 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5437 Synchronisieren von Verzeichnisdienstdaten DDCP: Nobody Synchronize directory service data Not Defined 5438 Übernehmen des Besitzes von Dateien und Objekten DDCP: Administrators Take ownership of files or other objects Not Defined 5.5 Security Options Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5500 Konten: Administratorkontostatus Accounts: Administrator account status Not Defined 5501 Konten: Gastkontenstatus Accounts: Guest account status 5502 Konten: Lokale Kontenverwendung mit leeren Kennwörtern auf Konsolenanmeldung beschränken Accounts: Limit local account use of blank passwords to console logon only Enabled 5503 Konten: Administrator umbenennen Accounts: Rename administrator account Lroot (Local Root) 5504 Konten: Gastkonto umbenennen Accounts: Rename guest account Not Defined Sollte ohnehin disabled sein Überwachung: Zugriff auf globale Systemobjekte prüfen Audit: Audit the access of global system objects - Seite: 28 Datum: 30. Nov. 2004

29 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5506 Überwachung: Die Verwendung des Sicherungsund Wiederherstellungsrechts überprüfen 5507 Überwachung: System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können 5508 Geräte: Entfernen ohne vorherige Anmeldung erlauben Audit: Audit the use of Backup and Restore privilege Audit: Shut down system immediately if unable to log security audits Devices: Allow undock without having to log on Server sind vermutlich keine Notebooks ;) Geräte: Formatieren und Auswerfen von Wechselmedien zulassen Devices: Allowed to format and eject removable media Administrators 5510 Geräte: Anwendern das Installieren von Druckertreibern nicht erlauben Devices: Prevent users from installing printer drivers Enabled Auf Servern muss ein Anwender keinen Drucker installieren können 5511 Geräte: Zugriff auf CD-ROM-Laufwerke auf lokal angemeldete Benutzer beschränken Devices: Restrict CD-ROM access to locally loggedon user only Enabled 5512 Geräte: Zugriff auf Diskettenlaufwerke auf lokal angemeldete Benutzer beschränken Devices: Restrict floppy access to locally logged-on user only Enabled 5513 Geräte: Verhalten bei der Installation von nichtsignierten Treibern Devices: Unsigned driver installation behavior Warn but allow installation 5514 Domänencontroller: Serveroperatoren das Einrichten von geplanten Tasks erlauben Domain controller: Allow server operators to schedule tasks nur der AT-Befehl ist davon betroffen Seite: 29 Datum: 30. Nov. 2004

30 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5515 Domänencontroller: Signaturanforderungen für LDAP-Server DDCP: None 5516 Domänencontroller: Änderungen von Computerkontenkennwörtern verweigern Domain controller: LDAP server signing requirements Not Defined LDAP Server laufen nur auf Domänen Controller Domain controller: Refuse machine account password changes Nur auf Domain Controllern relevant! Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) DDCP: Enabled Domain member: Digitally encrypt or sign secure channel data (always) Dies kann nur eingeschaltet werden, wenn min. NT4 SP6a eingesetzt wird Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) Domain member: Digitally encrypt secure channel data (when possible) Enabled 5519 Domänenmitglied: Daten des sicheren Kanals digital signieren (wenn möglich) Domain member: Digitally sign secure channel data (when possible) Enabled 5520 Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren Domain member: Disable machine account password changes 5521 Domänenmitglied: Maximalalter von Computerkontenkennwörtern Domain member: Maximum machine account password age 30 days 5522 Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Domain member: Require strong (Windows 2000 or later) session key Enabled Seite: 30 Datum: 30. Nov. 2004

31 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5523 Änderung der Beschreibung des originalen Administrators Gesamte Beschreibung löschen oder so anpassen, dass dieser nicht erkannt wird. Manueller Eingriff (Local Users and Groups) 5524 Interaktive Anmeldung: Letzten Benutzernamen nicht anzeigen Interactive logon: Do not display last user name Enabled 5525 Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich Interactive logon: Do not require CTRL+ALT+DEL 5526 Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen Interactive logon: Message text for users attempting to log on Dieser Computer, sowie das gesamte Netzwerk eigeschlossen allen Daten sind Firmeneigentum und gesetzlich geschützt. Der Zugriff ist ausschliesslich berechtigten Personen vorbehalten. Die Benutzung dieses Computers sowie dem Netzwerk wird überwacht und protokolliert Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen Interactive logon: Message title for users attempting to log on WARNUNG!!! 5528 Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist) Interactive logon: Number of previous logons to cache (in case domain controller is not available) 0 logons 5529 Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern Interactive logon: Prompt user to change password before expiration 10 days 5530 Interaktive Anmeldung: Domänencontrollerauthentifizierung zum Aufheben der Sperrung der Arbeitsstation erforderlich Interactive logon: Require Domain Controller authentication to unlock workstation Enabled Seite: 31 Datum: 30. Nov. 2004

32 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5531 Interaktive Anmeldung: Zur Anmeldung wird eine SmartCard benötigt Interactive logon: Require smart card Not defined Interaktive Anmeldung: Verhalten beim Entfernen von Smartcards Interactive logon: Smart card removal behavior Lock Workstation 5533 Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Microsoft network client: Digitally sign communications (always) 5534 Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) Microsoft network client: Digitally sign communications (if server agrees) Enabled 5535 Microsoft-Netzwerk (Client): Unverschlüsseltes Kennwort an SMB-Server von Drittanbietern senden Microsoft network client: Send unencrypted password to third-party SMB servers 5536 Microsoft-Netzwerk (Server): Leerlaufzeitspanne bis zum Anhalten der Sitzung Microsoft network server: Amount of idle time required before suspending session 15 minutes 5537 Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) DDCP: Enabled Microsoft network server: Digitally sign communications (always) 5538 Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) DDCP: Enabled Microsoft network server: Digitally sign communications (if client agrees) Enabled 5539 Microsoft-Netzwerk (Server): Clientverbindungen aufheben, wenn die Anmeldezeit überschritten wird Microsoft network server: Disconnect clients when logon hours expire Enabled Seite: 32 Datum: 30. Nov. 2004

33 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5540 Netzwerkzugriff: Anonyme SID- /Namensübersetzung zulassen Network access: Allow anonymous SID/Name translation Not definded 5541 Netzwerkzugriff: Anonyme Aufzählung von SAM- Konten nicht erlauben Network access: Do not allow anonymous enumeration of SAM accounts Enabled 5542 Netzwerkzugriff: Anonyme Aufzählung von SAM- Konten und Freigaben nicht erlauben Network access: Do not allow anonymous enumeration of SAM accounts and shares Enabled 5543 Netzwerkzugriff: Speicherung von Anmeldeinformationen oder.net-passports für die Netzwerkauthentifikation nicht erlauben Network access: Do not allow storage of credentials or.net Passports for network authentication Enabled 5544 Netzwerkzugriff: Die Verwendung von 'Jeder'- Berechtigungen für anonyme Benutzer ermöglichen Network access: Let Everyone permissions apply to anonymous users Domänen-Trusts mit NT4 Domänen können so nicht mehr eingegangen werden 5545 Netzwerkzugriff: Named Pipes, auf die anonym zugegriffen werden kann Network access: Named Pipes that can be accessed anonymously None 5546 Netzwerkzugriff: Registrierungspfade, auf die von anderen Computern aus zugegriffen werden kann Network access: Remotely accessible registry paths System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion - Seite: 33 Datum: 30. Nov. 2004

34 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5547 Netzwerkzugriff: Registrierungsunterpfade, auf die von anderen Computern aus zugegriffen werden kann Network access: Remotely accessible registry paths and sub-paths Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Window s NT\CurrentVersion\Windows System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog Netzwerkzugriff: Verbieten von anonymen Verbindungen auf Named Pipes und Freigaben Network access: Restrict anonymous access to Named Pipes and Shares Enabled 5549 Netzwerkzugriff: Freigaben, auf die anonym zugegriffen werden kann Network access: Shares that can be accessed anonymously None 5550 Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten Network access: Sharing and security model for local accounts Classic - local users authenticate as themselves 5551 Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Network security: Do not store LAN Manager hash value on next password change Enabled Alle Passwörter müssen neu vergeben werden. Diese Einstellung gilt nur für neue Passwörter! Seite: 34 Datum: 30. Nov. 2004

35 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5552 Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen Network security: Force logoff when logon hours expire Not Defined Auf Domänenebene definiert Netzwerksicherheit: LAN Manager- Authentifizierungsebene DDCP: Send NTLM response only Network security: LAN Manager authentication level Send NTLMv2 response only\refuse LM & NTLM Achtung beim Einsatz von Routing and Remote Access Server. Da muss diese Einstellung auf \refuse LM zurückgestuft werden Netzwerksicherheit: Signaturanforderungen für LDAP-Clients Network security: LDAP client signing requirements Negotiate signing 5555 Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Clients (einschließlich sicherer RPC-Clients) Network security: Minimum session security for NTLM SSP based (including secure RPC) clients No Minimum 5556 Netzwerksicherheit: Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschließlich sicherer RPC-Server) Network security: Minimum session security for NTLM SSP based (including secure RPC) servers No Minimum 5557 Wiederherstellungskonsole: Automatische administrative Anmeldungen zulassen Recovery console: Allow automatic administrative logon 5558 Wiederherstellungskonsole: Kopieren von Disketten und Zugriff auf alle Laufwerke und alle Ordner zulassen Recovery console: Allow floppy copy and access to all drives and all folders Enabled Herunterfahren: Herunterfahren des Systems ohne Anmeldung zulassen Shutdown: Allow system to be shut down without having to log on 5560 Herunterfahren: Auslagerungsdatei des virtuellen Arbeitspeichers löschen Shutdown: Clear virtual memory pagefile - Seite: 35 Datum: 30. Nov. 2004

36 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5561 Systemkryptografie: Benutzerspezifische Schlüssel (z.b. SSL Clientcertifikate) sollen mit einen starken Schlüssel geschützt werden System cryptography: Force strong key protection for user keys stored on the computer User is prompted when the key is first used 5562 Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing 5563 Systemobjekte: Standardbesitzer für Objekte, die von Mitgliedern der Administratorengruppe erstellt werden System objects: Default owner for objects created by members of the Administrators group Object creator 5564 Systemobjekte: Groß-/Kleinschreibung für Nicht- Windows-Subsysteme ignorieren System objects: Require case insensitivity for non- Windows subsystems Enabled Weiter oben wurden alle Subsysteme entfernt! Systemobjekte: Standardberechtigungen interner Systemobjekte (z. B. symbolischer Verknüpfungen) verstärken System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) Enabled 5566 Systemeinstellungen: Optionale Subsysteme System settings: Optional subsystems None 5567 Systemeinstellungen: Benutzen von Zertifikatregeln bei ausführbaren Dateien bei der Benutzung von Software Richtlinien System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies Not Defined Die Einführung von Software Restriction Policies bedarf einer guten Planung. Zudem muss eine CA aufgebaut werden. - Seite: 36 Datum: 30. Nov. 2004

37 5.6 Event Log Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5600 Maximale Protokollgrösse (Anwenung) Maximum application log size kilobytes 5601 Maximale Protokollgrösse (Sicherheit) Maximum security log size kilobytes 5602 Maximale Protokollgrösse (System) Maximum system log size kilobytes 5603 Sperren des Zugriffs auf die Anwendungsprotokolierung für Gäste Prevent local guests group from accessing application log Enabled 5604 Sperren des Zugriffs auf die Sicherheitsprotokolierung für Gäste Prevent local guests group from accessing security log Enabled 5605 Sperren des Zugriffs auf die Systemprotokolierung für Gäste Prevent local guests group from accessing system log Enabled 5606 Ergreignisse überschreiben, die älter als x-tage sind (Anwendungsprotokoll) Retain application log Not Defined 5607 Ergreignisse überschreiben, die älter als x-tage sind (Sicherheitsprotokoll) Retain security log Not Defined 5608 Ergreignisse überschreiben, die älter als x-tage sind (Systemprotokoll) Retain system log Not Defined 5609 Ereignisse nach Bedarf überschreiben (Anwendungsprotokoll) Retention method for application log As needed Seite: 37 Datum: 30. Nov. 2004

38 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5610 Ereignisse nach Bedarf überschreiben (Sicherheitsprotokoll) Retention method for security log As needed 5611 Ereignisse nach Bedarf überschreiben (Systemprotokoll) Retention method for system log As needed Seite: 38 Datum: 30. Nov. 2004

39 5.7 System Services Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5700 Nachrichtendienst Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Alerter Enabled Wird für das versenden von Warnachrichten benötigt (z.b. USV) 5701 Gatewaydienst auf Anwendungsebene Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für die gemeinsame Nutzung der Internetverbindung und den Internetverbindungsdfirewall. Application Layer Gateway Service Diese Funktionalität wird auf einem Server nicht benötigt! 5702 Anwendungsverwaltung Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation. Application Management Wird benötigt wenn über Group Policy Programme installiert werdem 5703 Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-ofprocess requests will not be processed. ASP.NET State Service 5704 Automatische Updates Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird. Automatic Updates Wird im Zusammenhang mit SUS bennötigt. Siehe Kapitel 0 Seite: 39 Datum: 30. Nov. 2004

40 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5705 Intelligenter Hintergrundübertragungsdienst Verwendet sich in Leerlauf befindende Netzwerkbandbreite für die Datenübertragung. Background Intelligent Transfer Service Manual 5706 Zertifikat Service Dient zum Austellen und Managem von Digitalen Zertifikaten. Certifcate Service 5707 Client Service für Novell Netware Für den Zugriff auf Novell Netzwerkressourcen wie Dateien. Client Service for Netware 5708 Ablagemappe Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. ClipBook 5709 Cluster Service Stellt Hochverfügbarkeit zur Verfügung. Cluster Service Not defined 5710 COM+-Ereignissystem Unterstützt den Systemereignis- Benachrichtigungsdienst (SENS, System Event Notification Service), der die automatische Verteilung von Ereignissen an abonnierende COM- Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. COM+ Event System Manual Seite: 40 Datum: 30. Nov. 2004

41 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5711 COM+-Systemanwendung Verwaltet die Komponentenkonfiguration und - überwachung von COM+-basierten Komponenten. Nach dem Beenden des Dienstes sind die meisten COM+-basierten Komponenten nicht ordnungsgemäß funktionsfähig. Nach dem Deaktivieren dieses Dienstes werden alle Dienste nicht gestartet, die explizit auf diesem Dienst basieren. COM+ System Application 5712 Computerbrowser Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden. Computer Browser Automatic Kryptografiedienste Stellt drei Verwaltungsdienste bereit: den Katalogdatenbankdienst, der die Signaturen von Windows-Dateien bestätigt Cryptographc Services Automatic 5714 DHCP-Client Verwaltet die Netzwerkkonfiguration, indem IP- Adressen und DNS-Namen registriert und aktualisiert werden. DHCP Client Automatic DHCP-Server Stellt die dynamische Netzwerkkonfiguration zur Verfügung, indem IP-Adressen und DNS-Namen an DHCP-Clients verteilt werden. DHCP Server Seite: 41 Datum: 30. Nov. 2004

42 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5716 Verteiltes Dateisystem DFS managen logische Volumes, die über das Netzwerk verteilt sind. Distributed File System 5717 Überwachung verteilter Verknüpfungen (Client) Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einer Netzwerkdomäne aufrecht. Distributed Link Tracking Client NTFS-Links werden auf dem lokalen Computer nicht mehr gewartet oder verfolgt Überwachung verteilter Verknüpfungen (Server) Distributed Link Tracking Server NTFS-Links werden auf dem lokalen Computer nicht mehr gewartet oder verfolgt Distributed Transaction Coordinator Koordiniert Transaktionen, die sich über mindestens zwei Ressourcenverwaltungen wie Datenbanken, Nachrichtenwarteschlangen oder Dateisysteme erstrecken. Wenn der Dienst beendet ist, treten diese Transaktionen nicht auf. Wenn der Dienst deaktiviert ist, können abhängige Dienste nicht gestartet werden. Distributed Transaction Coordinator 5720 DNS-Client Wertet DNS-Namen (Domain Name System) für diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen auflösen und Active Directory-Domänencontroller ermitteln. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. DNS Client Automatic DNS Server Stellt ein Dienst zur Namensauflösung zur Verfügung. DNS Server Seite: 42 Datum: 30. Nov. 2004

43 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5722 Fehlerberichterstattungsdienst Ermöglicht die Fehlerberichterstattung für Dienste und Anwendungen, die in nicht standardgemäßen Umgebungen ausgeführt werden. Error Reporting Service 5723 Ereignisprotokoll Ermöglicht die Ansicht von Ereignisprotokollmeldungen von Windows-basierten Programmen und Komponenten in der Ereignisanzeige. Dieser Dienst kann nicht beendet werden. Event Log Automatic 5724 Fax Dienst Stellt Fax Funktionalität zur Verfügung. Fax Service 5725 Datei Replikation Repliziert Dateien über verschiedene Server. File Replication Wird auf Domain Controller benötigt! 5726 Datei Server für Macintosh Macinthosh Benutzer können auf den Windwos Server zugreifen. File Server for Macinthosh 5727 FTP Dienst Stellt das File Transfer Protokoll zur Verfügung. (Teil des IIS). FTP Publishing Service 5728 Hilfe und Support Aktiviert das Hilfe- und Supportcenter auf diesem Computer. Das Hilfe- und Supportcenter ist nicht verfügbar, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Help and Support Seite: 43 Datum: 30. Nov. 2004

44 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5729 HTTP SSL Ist die SSL Komponente des IIS. HTTP SSL 5730 Eingabegerätezugang Ermöglicht einen Standardeingabezugang für Eingabegeräte (HID-Geräte), welcher die Verwendung von vordefinierten Schnelltasten auf Tastaturen, Fernbedienungen und anderen Multimediageräten aktiviert und unterstützt. Wenn dieser Dienst beendet wird, werden die von diesem Dienst gesteuerten Schnelltasten nicht mehr funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Human Interface Device Access 5731 IAS Jet Datenbank Zugriff Kann benutzt werden um Benutzer via den Radius Server zu authentisieren. IAS Jet Database Access Nur auf der 64-bit Version verfügbar 5732 IIS Admin Dienst Wird für die Administration des IIS benötigt. IIS Admin Service 5733 IMAPI-CD-Brenn-COM-Dienste Verwaltet das Aufnehmen von CDs mit IMAPI (Image Mastering Applications Programming Interface). Auf diesem Computer können keine CDs aufgenommen werden, wenn dieser Dienst angehalten wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. IMAPI CD-Burning COM Service 5734 Indexdienst Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache. Indexing Service Seite: 44 Datum: 30. Nov. 2004

45 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5735 Infrarot Monitor Infrarot Unterstützung. Geräte im Empfangsbereich werden automatisch erkannt. Infrared Monitor 5736 Internet Authentisierungs Dienst Stellt einen Radius (Remote Authentication Dial-In User Service) zur Verfügung. Wird oft in Zusammenhang mit VPN oder Wirelessnetzwerken benutzt. Internet Authentication Service 5737 Internetverbindungsfirewall/Gemeinsame Nutzung der Internetverbindung Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz. Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 5738 Intersite Mangement Dieser Service wird von Domain Controllern für die Replizierung zwischen Sites verwendet. Intersite Management Wird auf Domain Controller benötigt! 5739 IP Version 6 Helper Service IPv6 Protokoll. Kann in existierenden IPv4 Netzen verwendet werden. IP Version 6 Helper Service 5740 IPSEC-Dienste Verwaltet IP-Sicherheitsrichtlinien und startet den IKE-Treiber (ISAKMP/Oakley) und den IP- Sicherheitstreiber. IPSEC Services Automatic 5741 Kerberos Schlüssel Verteilungs Dienst Wird auf DC benötigt. Implementiert einen Authentication und den Ticket Granting Service. Kerberos Key Distribution Center Wird auf Domain Controller benötigt! 5742 Lizenz Verwaltung Trackt Software Lizenzen von Microsoft Produkten. License Logging Service Seite: 45 Datum: 30. Nov. 2004

46 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5743 Administrativer Dienst für den Verwaltungsdienst für die Verwaltung logischer Datenträger Ist zusammen mit dem Logical Disk Manager für die Einrichtung neuer Festplatten zuständig. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet. Logical Disk Manager Administrative Service Manual 5744 Verwaltungsdienst für die Verwaltung logischer Datenträger Konfiguriert Festplattenlaufwerke und -volumes. Dieser Dienst wird nur zu Konfigurationszwecken ausgeführt und anschließend beendet. Logical Disk Manager Manual 5745 Message Queuing Down Level Clients Message Queuing Down Level Clients 5746 Message Queuing Triggers Message Queuing Triggers 5747 Message Queuing Message Queuing 5748 Messenger Übermittelt net send und Alerter Nachrichten zwischen Clients und Server. Messenger Automatic 5749 Microsoft POP3 Service Zusammen mit dem SMTP Server wird ein einfacher Mailserver zur Verfügung gestellt. Microsoft POP3 Service Seite: 46 Datum: 30. Nov. 2004

47 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5750 MS Software Shadow Copy Provider Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte Schattenkopien können nicht verwaltet werden, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Microsoft Software Shadow Copy Provider Manual Softwarebasierte Schattenkopien können nicht mehr gemanagt werden! 5751 MSSQL$UUDI Stellt eine Hauptkomponente für Webservices dar. Benutzer können Anfragen bezüglich Daten in der SQL-Datenbank stellen. MSSQL$UUDI 5752 MSSQLServerADHelper Wird benötigt, wenn Informationen ins Active Directory gespeichtert werden möchten, jedoch der SQL Server nicht unter dem System Konto läuft. MSSQLServerADHelper 5753 Anmeldedienst Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. Net Logon Automatic 5754 NetMeeting-Remotedesktop-Freigabe Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. NetMeeting Remote Desktop Sharing Seite: 47 Datum: 30. Nov. 2004

48 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5755 Netzwerkverbindungen Verwaltet Objekte im Ordner 'Netzwerk- und DFÜ- Verbindungen', in dem sowohl LAN-, als auch WAN-Verbindungen angezeigt werden. Network Connections Manual 5756 Netzwerk-DDE-Serverdienst Verwaltet DDE-Netzwerkfreigaben (Dynamic Data Exchange=Dynamischer Datenaustausch). Wenn dieser Dienst beendet wird, werden keine DDE- Netzwerkfreigaben mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Network DDE DSDM 5757 Netzwerk-DDE-Dienst Ermöglicht Netzwerktransport und Sicherheit für den dynamischen Datenaustausch (DDE) von Programmen, die auf dem gleichen Computer oder auf verschiedenen Computern ausgeführt werden. Wenn dieser Dienst beendet wird, wird der DDE- Transport und die DDE-Sicherheit nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Network DDE 5758 NLA (Network Location Awareness) Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt Anwendungen, wenn diese Informationen sich ändern. Network Location Awareness (NLA) Manual 5759 NNTP Service Unterstützt die zentrale Speicherung von Nachrichten (News). Ist eine Komponente von IIS. Network News Transport Protocol (NNTP) Seite: 48 Datum: 30. Nov. 2004

49 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5760 NT-LM-Sicherheitsdienst Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden Leistungsdatenprotokolle und Warnungen Sammelt basierend auf einem vorkonfigurierten Zeitplan Systemleistungsdaten vom lokalen oder von Remotecomputern und schreibt die Daten in ein Protokoll oder löst eine Warnung aus. Wenn dieser Dienst beendet wird, werden keine Leistungsinformationen mehr gesammelt. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können Plug & Play Ermöglicht dem Computer, Hardwareänderungen zu erkennen und sich ohne oder mit geringer Benutzerinteraktion darauf einzustellen. Beenden oder Deaktivieren dieses Dienstes wird die Systemstabilität beeinträchtigen. NT LM Security Support Provider Automatic Performance Logs and Alerts Manual Plug and Play Automatic Seriennummer der tragbaren Medien Ermittelt die Seriennummer aller tragbaren Musikabspielgeräte, die an den Computer angeschlossen sind. Portable Media Serial Number Service 5764 Print Server für Macintosh Stellt einen Printserver für Macintosh Clients zur Verfügung. Print Server for Macintosh 5765 Druckwarteschlange Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken. Print Spooler Seite: 49 Datum: 30. Nov. 2004

50 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5766 Geschützter Speicher Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Protected Storage Automatic 5767 Routing und RAS Bietet Routingdienste in LAN- und WAN- Netzwerkumgebungen. Remote Access Auto Connection Manager 5768 RAS-Verbindungsverwaltung Stellt eine Netzwerkverbindung her. Remote Access Connection Manager 5769 Remote Administrations Dienst Wird vom Remote Server Manager gestartet und führt dessen Anfragen aus, Remote Administration Service Manual Sitzungs-Manager für Remotedesktophilfe Verwaltet und überwacht die Remoteunterstützung. Die Remoteunterstützung wird beim Beenden dieses Dienstes nicht verfügbar sein. Bevor Sie diesen Dienst beenden, schauen Sie sich die Registerkarte "Abhängigkeiten" im Dialog "Eigenschaften" an." Remote Desktop Help Session Manager 5771 Remote Installations Service RIS ist ein Installationsdienst, mit welchem Betriebssysteme über das Netzwerk installiert werden können. Remote Installation Wird allenfalls auf Installationsserver benötigt (RIS) 5772 Remoteprozeduraufruf (RPC) Endpunktzuordnung und andere verschiedene RPC- Dienste. Remote Procedure Call (RPC) Locator Seite: 50 Datum: 30. Nov. 2004

51 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5773 RPC-Locator Verwaltet die Datenbank für den RPC- Namensdienst. Remote Procedure Call (RPC) Automatic 5774 Remote-Registrierung Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Remote Registry Service Automatic 5775 Remote Server Manager Remote Server Manager 5776 Remote Server Monitor Remote Server Monitor 5777 Remote Storage Notification Remote Storage Notification 5778 Remote Storage Server Stellt Speicher zur Verfügung indem nicht benötigte Daten auf entfernten Speicher ausgelagert werden. Remote Storage Server 5779 Wechselmedien Wird benötigt bei Bandlaufwerden und Jukeboxen. Removable Storage Wird benötigt, wenn mit ntbackup Sicherheitskopien erstellt werden 5780 Resultant Set of Policy Provider (RSoP) Wird benötigt, wenn die tätsächlich angewendeten Policies ausgelesen werden möchten. Resultant Set of Policy Provider Seite: 51 Datum: 30. Nov. 2004

52 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5781 Verwaltung für automatische RAS-Verbindung Erstellt eine Verbindung zu einem Remotenetzwerk, wenn ein Programm eine Remote-DNS- oder - NetBIOS-Adresse referenziert. Routing and Remote Access 5782 SAP Agent Wird im Zusammenhang mit IPX benötigt um freigegebene Resourcen auf dem Netzwerk bekannt zu machen. SAP Agent 5783 Sekundäre Anmeldung Ermöglicht das Starten von Prozessen unter Verwendung alternativer Anmeldeinformationen. Wenn dieser Dienst beendet wird, wird diese Art der Anmeldung nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Secondary Logon 5784 Sicherheitskontenverwaltung Speichert Sicherheitsinformationen für lokale Benutzerkonten. Security Accounts Manager Automatic 5785 Server Unterstützt Datei-, Drucker- und Named-Piped- Freigabe für diesen Computer über das Netzwerk. Diese Funktionen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Server Automatic 5786 Shellhardwareerkennung Automatischer Start von Applikationen, die von Hardware Events ausgehen. (z.b. Bildviewer beim Einstecken von USB Massstorage) Shell Hardware Detection Seite: 52 Datum: 30. Nov. 2004

53 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5787 SMTP Service Bildet zusammen mit dem POP Server ein Mailserver. Kann auch als Relay benutzt werden. Simple Mail Transport Protocol (SMTP) 5788 Einfache TCP/IP Dienste Implementiert Echo, Discard, Character Generator, Daytime und Quote of the Day Protokolle. Simple TCP/IP Services 5789 SIS (Single Instance Storage Groveler) Ist eine integrale Komponente vom RIS. Dieser Dienst sucht ein RIS volume nach doppelten Files ab und konsolidiert diese. Single Instance Storage Groveler 5790 Smartcard Verwaltet den Zugriff auf Smartcards, die von diesem Computer gelesen werden. Wenn dieser Dienst beendet wird, wird dieser Computer keine Smartcards mehr lesen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Smart Card 5791 SNMP Dienst Das Simple Network Management Protokol wird vor allem zum Austausch von Statusmeldungen eingesetzt. Es können auch Konfigurationsänderungen vorgenommen werden. Viele Systemmanagment Programme (HP TopTools, Compaq Insight Manager usw.) basieren auf diesem Protokoll. SNMP Service Not defined Kann ev. werden, sofern keine Management Software eingesetzt wird. Seite: 53 Datum: 30. Nov. 2004

54 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5792 Konfiguration von SNMP Folgende Parameter sind zu konfigurieren: Community name (kein default wert nehmen) Trap destination (nur mangement stationen eintragen) Security: Rechte der Communtiys Security: Eingrenzen welche Maschinen SNMP anfragen schicken dürfen 5793 SNMP Trap Service SNMP Trap Service Not defined Kann ev. werden, sofern keine Management Software eingesetzt wird SQLAgent$ (UDDI or WebDB) SQLAgent$ (UDDI or WebDB) Manueller Eingriff (Contol Panel- Services-SNMP Service-Properties) 5795 Systemereignisbenachrichtigung Verfolgt Systemereignisse wie Windows- Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen. System Event Notification Automatic Taskplaner Ermöglicht einem Benutzer, automatische Vorgänge auf diesem Computer zu konfigurieren und zu planen. Wenn dieser Dienst beendet wird, werden diese Vorgänge nicht zu den geplanten Zeiten ausgeführt werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Task Scheduler Wird benötigt, wenn ntbackup eingesetzt wird. Seite: 54 Datum: 30. Nov. 2004

55 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5797 TCP/IP-NetBIOS-Hilfsprogramm Ermöglicht die Unterstützung vom NetBIOS-über- TCP/IP-Dienst (NetBT) und die NetBIOS- Namensauflösung. TCP/IP NetBIOS Helper Automatic TCP/IP Print Server TCP/IP Print Server 5799 Telefonie Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte steuern, sowie IPbasierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen. Telephony 5800 Telnet Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP- Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden. Telnet 5801 Terminal Server Session Directory Terminal Server Session Directory Seite: 55 Datum: 30. Nov. 2004

56 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5802 Terminaldienste Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich RD für Administratoren), schnelle Benutzerumschaltung, Remoteunterstützung und Terminalserver. Terminal Services Automatic Designs Stellt die Designverwaltung zur Verfügung. Themes 5804 Tivial FTP Deamon Tivial FTP Deamon Wird im Zusammenhang mit RIS verwendet! 5805 Unterbrechungsfreie Stromversorgung Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Stromversorgung (USV). Uninterruptible Power Supply Upload-Manager Verwaltet synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern im Netzwerk. Synchrone und asynchrone Dateiübertragungen zwischen Clients und Servern werden nicht ausgeführt, wenn dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Upload Manager Seite: 56 Datum: 30. Nov. 2004

57 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5807 Verwaltung logischer Datenträger Erkennt und überwacht neue Festplattenlaufwerke und sendet Festplatteninformationen zur Konfiguration an den Verwaltungsdienst für die Verwaltung logischer Datenträger. Wenn dieser Dienst beendet wird, können Statusinformationen für dynamische Festplatten und Konfigurationsinformationen veraltet oder ungültig werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Virtual Disk Service 5808 Volumeschattenkopie Verwaltet und implementiert Volumeschattenkopien, die zu Sicherungs- und anderen Zwecken verwendet werden. Wenn dieser Dienst beendet wird, werden keine Schattenkopien für Sicherungen verfügbar sein und die Sicherung kann eventuell fehlschlagen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Volume Shadow Copy Manual Web Element Manager Web Element Manager 5810 WebClient Ermöglicht Windows-basierten Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. WebClient Seite: 57 Datum: 30. Nov. 2004

58 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5811 Windows Audio Verwaltet Audiogeräte für Windows-basierte Programme. Wenn dieser Dienst beendet wird, werden Audiogeräte und -effekte nicht korrekt funktionieren. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können. Windows Audio 5812 Windows-Bilderfassung (WIA) Bietet Bilderfassungsdienste für Scanner und Kameras. Windows Image Acquisition (WIA) 5813 Windows Installer Installiert, repariert oder entfernt Software gemäß der in MSI-Dateien enthaltenen Anweisungen. Windows Installer Automatic Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) 5815 Windows Management Instrumentation Driver Windows Management Instrumentation Driver Extensions Manual Windows-Verwaltungsinstrumentation Bietet eine standardmäßige Schnittstelle und Objektmodell zum Zugreifen auf Verwaltungsinformationen über das Betriebssystem, Geräte, Anwendungen und Dienste. Die meiste Windows-basierte Software kann nicht ordnungsgemäß ausgeführt werden, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Windows Management Instrumentation Automatic - Seite: 58 Datum: 30. Nov. 2004

59 Nr. Service/Beschreibung Empfehlung Gewichtung Referenz 5817 Windows Media Services Windows Media Services 5818 Windows System Resource Manager Windows System Resource Manager 5819 Windows-Zeitgeber Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk. Wenn dieser Dienst beendet wird, ist die Datum- und Uhrzeitsynchronisierung nicht verfügbar. Wenn der Dienst deaktiviert wird, können alle anderen Dienste, die explizit davon abhängen, nicht gestartet werden. Windows Time Automatic WinHTTP Web Proxy Auto Discovery Service WinHTTP Web Proxy Auto Discovery Service 5821 Konfigurationsfreie drahtlose Verbindung Bietet automatische Konfiguration für Adapter. Wireless Configuration 5822 WMI-Leistungsadapter Bietet Leistungsbibliotheksinformationen der WMI- HiPerf-Anbieter. WMI Performance Adapter Manual 5823 Arbeitsstationsdienst Erstellt und wartet Clientnetzwerkverbindungen mit Remoteservern. Diese Verbindungen sind nicht mehr verfügbar, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Workstation Automatic World Wide Web Publishing Service World Wide Web Publishing Service Seite: 59 Datum: 30. Nov. 2004

60 5.8 Additional Registry Settings Leider können nicht alle Sicherheitseinstellungen über den Policy Editior eingestellt werden. Die folgenden Einstellungen sind im Security Template enthalten. Sollen die Einstellungen entfernt oder geändert werden, muss dies mittels eines Texteditors geschehen. Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5825 Sicherheitsmassnahmen bezüglich Netzwerkattacken EnableICMPRedirect = 0 SynAttackProtect = 1 EnableDeadGWDetect = 0 EnablePMTUDiscovery = 0 KeepAliveTime = DisableIPSourceRouting = 2 TcpMacConnectResponseRetransmissions = 2 TcpMaxDataRetransmissions = 3 PerformRouterDiscovery = 0 TCPMaxPortsExhausted = AFD.SYS Einstellungen DynamicBacklogGrowthDelta = 10 EnableDynamicBacklog = 1 MinimumDynamicBacklog = 20 MaximumDynamicBacklog = Allow the computer to ignore NetBIOS name release requests except from WINS servers NoNameReleaseOnDemand = Auschalten der 8.3-Namenserstellung NtfsDisable8dot3NameCreation = Ausschalten der Autorun-Funktion auf allen Laufwerken 5830 Einschalten des sofortigen Passwortschutzes des Bildschirmschoners NoDriveTypeAutoRun = 0xFF ScreenSaverGracePeriod = 0 Seite: 60 Datum: 30. Nov. 2004

61 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5831 Einschalten des sicheren DLL Suchmodus SafeDllSearchMode = Additional Security Settings Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5900 Internet Explorer: Disable Automatic Install of IE components Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Disable Automatic Install of Internet Explorer components Enabled Manueller Eingriff Group Policy Object Editor 5901 Internet Explorer: Disable Periodic Check for IE software updates Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Disable Automatic Install of Internet Explorer updates Manueller Eingriff Group Policy Object Editor 5902 Keine Fehlerberichte sollen an Microsoft gesendet werden Report Errors = Group Policy Path: Computer Configuration\Administrative Templates\System\Error Reporting Manueller Eingriff Group Policy Object Editor 5903 Logon: Do not process the legacy run list Computer Configuration\Administrative Templates\System\Logon\Do not process the legacy run list Not defined 5904 Logon: Do not process the run once list Computer Configuration\Administrative Templates\System\Logon\Do not process the run once list Not defined Manueller Eingriff Group Policy Object Editor Manueller Eingriff Group Policy Object Editor Seite: 61 Datum: 30. Nov. 2004

62 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5905 NetMeeting: Disable remote Desktop Sharing Computer Configuration\Administrative Templates\Windows Components\NetMeeting\Disable remote Desktop Sharing Enabled 5906 Terminal Services: Allow audio redirection Set setting to. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection Manueller Eingriff Group Policy Object Editor Manueller Eingriff Group Policy Object Editor 5907 Terminal Services: Do not allow COM port redirection Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection Manueller Eingriff Group Policy Object Editor 5908 Terminal Services: Do not allow drive redirection Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection 5909 Terminal Services: Do not allow LPT port redirection Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection 5910 Terminal Services: Do not allow printer redirection Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection Manueller Eingriff Group Policy Object Editor Manueller Eingriff Group Policy Object Editor Manueller Eingriff Group Policy Object Editor Seite: 62 Datum: 30. Nov. 2004

63 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 5911 Terminal Services: Do not allow smart card device redirection Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection Manueller Eingriff Group Policy Object Editor 5912 Terminal Services: Do not set default client printer to be default printer in a session Set setting to Enabled. Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Client/Server data redirection Manueller Eingriff Group Policy Object Editor 5913 Verschlüsselungsstärke bei Terminal Services Set client connection encryption level = High Group Policy Path: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Encryption and Security 5914 Windows Media Player: Prevent Automatic Updates Computer Configuration\Administrative Templates\Windows Components\Windows Media Player\Prevent Automatic Updates Enable Manueller Eingriff Group Policy Object Editor Manueller Eingriff Group Policy Object Editor 5915 Windows Messenger: Do not allow Windows Messenger to be run Computer Configuration\Administrative Templates\Windows Components\Windows Messenger\Do not allow Windows Messenger to be run Enabled Manueller Eingriff Group Policy Object Editor 5916 Windows Messenger: Do not automatically start Windows Messenger initially Computer Configuration\Administrative Templates\Windows Components\Windows Messenger\Do not automatically start Windows Messenger initially Enabled Manueller Eingriff Group Policy Object Editor Seite: 63 Datum: 30. Nov. 2004

64 6 Hardening Domain Controller (ADS) Wirkungskreis Anwendung Compass Template Name Dieses Kapitel beschreibt die Sicherheitseinstellungen auf den Domain Controllern. Zuerst wird die INF-Datei des Memberservers gemäss Kapitel 7.1 appliziert. Darauf folgend wird das INF-File des Domain Controllers auf die gleich Weise mit Import Policy appliziert. Intranet_Baseline_Security_Domain_CSNC_V1.2.inf Da das Hardening des Domain Controllers auf demjenigen des Member Servers basiert, wird untenstehend wird nur die Differenz zum Kapitel 5 Hardening Member Server aufgezeigt. 6.1 Installation Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6100 Keine Standard-Verzeichnisse wählen Z.b c:\win2k3 und c:\win2k3\ads Manueller Eingriff 6101 NTFS für alle Dateisysteme einsetzen Damit Berechtigungen vergeben können, müssen alle Partitionen mit NTFS formatiert werden. Bestehende FAT Partitionen können mittels convert konvertiert werden Konfiguration der Länder- und Zeiteinstellung Deutsch (Schweiz) und entsprechende Zeitzone während der Installation auswählen Manueller Eingriff Manueller Eingriff 6103 Keine Installation von Client-Software (z.b. Outlook, Word, Excel ) auf dem Server Auf dem Server sollen keine Officearbeiten erledigt werden. Auch das Surfen im Internet soll weitmöglichst eingegrenzt werden. Manueller Eingriff Seite: 64 Datum: 30. Nov. 2004

65 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6104 Aufteilung der Programme und Daten auf separate Partitionen Die Daten (z.b Webroot bei einem IIS) sollten auf eine separate Partition verschoben werden. Manueller Eingriff 6105 Keine Installation von Applikationen auf Domain Controller Auf DC s sollten keine Applikationen wie IIS, SQL usw. installiert werden. Da diese die Sicherheit massiv gefährden könnten. Manueller Eingriff 6106 Entfernen von unnötigen Programmen Entfernen von: Aktualisierung von Stammzertifikaten MSN Explorer Netzwerkdienste Outlook Express Windows Messenger Danach sind nur noch folgende Komponenten aktiv: Indexdienst, Internet Explorer, Windows Media Player und einige Zubehör- und Dienstprogramme. Manuell Systemsteuerung Software PS: Zusätzliche Komponenten können entfernt werden, werden aber in der Ansicht versteckt. Um das zu Umgehen editiert man die Datei C:\Windows\inf\sysoc.inf und entfernt überall das Wort HIDE. Seite: 65 Datum: 30. Nov. 2004

66 6.2 System Configuration Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6200 Installation des aktuellsten Service Packs Siehe sp und p Manueller Eingriff 6201 Konfiguration des automatischen Updates für betriebssystembasierte Hoffixes 6202 Konfiguration der domänenweiten Zeitsynchronisation Benutzung von SUS. Siehe Kapitel Manueller Eingriff Siehe Kapitel 7.1 Manueller Eingriff 6203 Einschalten des Remote Desktop Zugriffes Rechts Klick auf My Computer und den Tab Remote auswählen. Danach Allow users to connect remotely tho this computer auswählen. Unter Select Remote Users alle unerwünschten Accounts entfernen. - Manueller Eingriff 6204 Installation und Konfiguration eines Virenscanners Installation eines Virenscanners der das neue API z.b Norton 8.1) von Windows 2003 benutzt. Konfiguration von regelmässigen Updates (min. 1 mal täglich) Manueller Eingriff Seite: 66 Datum: 30. Nov. 2004

67 6.3 User Rights Assignments In der folgenden Liste taucht oft Not defined auf. Administratoren erhalten automatisch alle Privilegien die auf Not defined gesetzt sind. Lokale Administratoren können dies ändern. Dies wird jedoch, falls definiert, von der domänenweiten Policy wieder überschrieben. Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6300 Auf diesen Computer vom Netzwerk aus zugreifen Access this computer from the network Not Defined 6301 Hinzufügen von Arbeitsstationen zur Domäne Add workstations to domain Administrators 6302 Lokal anmelden Allow log on locally Administrators 6303 Anmeldung über Terminaldienste zulassen Allow log on through Terminal Services Administrators 6304 Ändern der Systemzeit Change the system time Administrators 6305 Zugriff vom Netzwerk auf diesen Computer verweigern Deny access to this computer from the network Anonymous Logon 6306 Anmeldung als Batchauftrag verweigern Deny log on as a batch job Guest 6307 Anmeldung über Terminaldienste verweigern Deny log on through Terminal Services Built-in Administrator, Support_388946a0, all NON- Operating System service accounts (e.g Exchange, SQL ) Manueller Eingriff Manueller Eingriff 6308 Enable computer and user acconts to be trusted for delegation Enable computer and user acconts to be trusted for delegation Not defined Seite: 67 Datum: 30. Nov. 2004

68 Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6309 Laden und Entfernen von Gerätetreibern Load and unload device drivers Administrators 6310 Wiederherstellen von Dateien und Verzeichnissen Restore files and directories Administrators 6311 Herunterfahren des Systems Shut down the system Administrators 6.4 Security Options Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6400 Konten: Administrator umbenennen Accounts: Rename administrator account Droot (Domain Root) Manueller Eingriff 6401 Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Network security: Do not store LAN Manager hash value on next password change Enabled Alle Passwörter müssen neu vergeben werden. Diese Einstellung gilt nur für neue Passwörter! Seite: 68 Datum: 30. Nov. 2004

69 6.5 System Services Nr. Service Empfehlung Gewichtung Referenz 6500 Distributed File System Distributed File System Automatic 6501 DNS Server DNS Server Automatic DHCP-Server Stellt die dynamische Netzwerkkonfiguration zur Verfügung, indem IP-Adressen und DNS-Namen an DHCP-Clients verteilt werden. DHCP Server Automatic 6503 File Replication File Replication Automatic 6504 Intersite Messaging Intersite Messaging Automatic 6505 Kerberos Key Distribution Center Kerberos Key Distribution Center Automatic 6506 Remote Procedure Call (RPC) Locator Remote Procedure Call (RPC) Locator Automatic Windows Internet Name Service (WINS) Windows Internet Name Service (WINS) Automatic Wird beim Einsatz von NT4 Computern noch benötigt. Seite: 69 Datum: 30. Nov. 2004

70 6.6 Additional Security Settings Nr. Sicherheitseinstellung Empfehlung Gewichtung Referenz 6600 Internet Information Services: Prevent IIS Installation Computer Configuration\Administrative Templates\Windows Components\Internet Information Services\Prevent IIS Installation Enabled Manueller Eingriff Group Policy Object Editor Seite: 70 Datum: 30. Nov. 2004

71 7 Anhang 7.1 Security Templates Security Templates sind Textdateien, die mittels des Security Templates Snap-in (MMC) oder einem Editor bearbeitet werden können. Bei der Definition von Zugriffberechtigungen wird die so genannte Security Descriptor Definition Language (SDDL) benutzt. Weiterführende Informationen finden sich unter: Es werden mit dem Betriebssystem schon vordefinierte Security Templates mitgeliefert. Diese finden sich im %SystemRoot%\security\templates Verzeichnis. Es ist unbedingt darauf zu achten, dass die benutzen Templates nicht verändert werden können. Normale Benutzer haben aus diesem Grund nur Leseberechtigungen auf diesem Verzeichnis Default Templates Mit den Default Templates können jederzeit die ursprünglichen Sicherheitseinstellungen wiederhergestellt werden. Windows 2003 Server: %windir%\inf\defltsv.inf Windows 2003 Domain Controller: %windir%\inf\defltdc.inf Vorgegangen wird dabei wie im Q beschrieben (Siehe Mircrosoft Knowledgebase) Import von Security Templates (Standard) Es wird empfohlen die neue Group Policy Management Console für das hantieren mit Group Policies zu benutzen (siehe Kapitel 7.1.3). ACHTUNG!!! Es ist unbedingt darauf zu achten, dass keine Templates verwechselt werden. Ansonsten funktionieren einige Dienste nicht mehr. Die von Compass Security modifizierten Templates sind im Labor getestet worden. Jedoch könnten einige Einstellungen die Funktion von Anwendungen beeinträchtigen. Wo solche Restriktionen bekannt sind, ist in der jeweiligen Beschreibung eine Bemerkung gemacht. Aus diesen Gründen wird dringest empfohlen diese Checkliste zuerst durch zu lesen und etweilige Punkte anzupassen. Folgen Sie den Anweisungen um ein Security Template in eine OU zu importieren: 1. Klicken Sie mit der rechten Maustaste auf den entsprechenden OU-Container in Active Directory Users and Computers und wählen Sie Properties. 2. Wählen Sie auf den Group Policy Tab neu um eine neue GPO anzulegen. 3. Benennen Sie die Policy (z.b. Intranet Baseline Domain Policy) GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 71 Datum: 30. Nov. 2004

72 4. Dieser Schritt sollte nur bei der Domain Policy vorgenommen werden! Klicken Sie mit der rechten Maustaste auf das soeben angelegte Objekt und wählen Sie No Override. 5. Wählen Sie das Objekt an und klicken Sie Edit. 6. Klicken Sie auf Computer Configuration-Windows Settings im Group Policy Object Editor. Nach einem Rechtsklick auf Security Settings wählen Sie Import Policy. 7. Wählen Sie nun das ensprechende Template aus. 8. Die Einstellungen sind nun importiert worden und es können alle Fenster geschlossen werden. 9. Wenn gewünscht kann die Replizierung der Policy auf die anderen Domain Controller mittels des Commandline-Tools gpupdate.exe forciert werden. Dazu muss auf den entsprechenden Maschinen der Befehl gpupdate /force eingegeben werden. Auf dieselbe Weise kann bei einem Windows XP Client die Policy neu angewendet werden. 10. Im Event Log sollten entsprechende Einträge zu finden sein. ACHTUNG!!! Die No Override Einstellung sollte nur bei der Domain Policy eingeschaltet werden. So wird sichergestellt, dass diese Policy für die gesamte Domain angewendet wird. Die Default Domain Policy kann so belassen werden um nötigenfalls die Default-Einstellungen zu reaktivieren. Die Domain Policy sollte in jede Domain in der Unternehmung importiert werden. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 72 Datum: 30. Nov. 2004

73 7.1.3 Group Policy Management Console (GPMC) Mit GPMC wird die Verwaltung von Gruppenrichtlinien vereinfacht. Das Analysieren, Bereitstellen, Verwalten und das Behandeln von Problemen für Implementationen mit Gruppenrichtlinien werden erleichtert. GPMC ermöglicht auch das Automatisieren von Gruppenrichtlinienvorgängen mittels Skripterstellung. Die GPMC ist ein MMC Snap-in Installation der GPMC 1. Downloaden Sie die Group Policy Management Console unter 2. Führen Sie zum Installieren von GPMC das Paket Gpmc.msi aus. Nachdem Sie den Endbenutzer-Lizenzvertrag (EULA) akzeptiert haben, werden alle notwendigen Dateien im Ordner %ProgramFiles%\GPMC installiert. Nach dem Installieren von GPMC können Sie das Snap-In mit einer der folgenden Methoden öffnen: GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 73 Datum: 30. Nov. 2004

74 Öffnen der vorkonfigurierten Datei GPMC.msc. Klicken Sie dazu im Startmenü auf Ausführen, geben Sie GPMC.msc ein, und klicken Sie dann auf OK. Sie können auch in der Systemsteuerung im Ordner Verwaltung auf die Verknüpfung Gruppenrichtlinienverwaltung klicken. Erstellen einer benutzerdefinierten MMC-Konsole mit dem GPMC-Snap-In. Führen Sie dazu folgende Aktionen aus: o Klicken Sie zum Öffnen von MMC im Startmenü auf Ausführen, geben Sie MMC ein, und klicken Sie dann auf OK. o Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen. o Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Gruppenrichtlinienverwaltung, und klicken Sie dann auf Hinzufügen. o Klicken Sie auf Schließen und dann auf OK. GPMC enthält mehrere Beispielskripts. Diese werden im Ordner %ProgramFiles%\GPMC\Scripts installiert. Sie sollten alle Beispielskripts mit Cscript.exe ausführen. Weitere Informationen zu Skripts finden Sie in der Datei ScriptingReadMe.rtf im Ordner Scripts. Anweisungen und Syntaxinformationen zu den einzelnen Skripts erhalten Sie, wenn Sie das jeweilige Skript mit dem /? -Parameter ausführen Neue Policy erstellen 1. GPMC öffnen. Muss ev. noch installiert werden. Siehe dazu server2003/gpmc/gpmcwp.mspx 2. Neue Policy unter Group Policy Objects anlegen. 3. Neu erstellte Policy im Group Policy Object Editor öffnen. 4. INF-Datei (Security Template) von Compass importieren. Achtung: Bei der Domain Controller Policy muss zuerst das Memberserver Template und danach direkt das Domain Controller Template importiert werden. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 74 Datum: 30. Nov. 2004

75 5. Manuelle Anpassungen vornehmen (Siehe Checkliste). 6. Entfernen aller Nicht Built-in User sonst gibt es beim Import Fehler. 7. Backup der fertigen Policy Policy Backup importieren und linken 1. Neue Policy unter Group Policy Objects anlegen. 2. Importieren der gesicherten Group Policy 3. Linken der Policy 4. Löschen der Default Policies (beim erstellen von Domain- und DC- Policies) Falls Policies für die Domäne oder für die Domänen Controller erstellt werden, können die entsprechenden Default Policies resp. deren Links gelöscht werden. 5. Priorität der Policy überprüfen GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 75 Datum: 30. Nov. 2004

76 Einstellungen überprüfen Die GPMC ermöglich es einfach die angewendeten Einstellungen zu überprüfen. Um einen solchen Report zu erstellen wird folgendermassen vorgegangen: 1. Group Policy Results Wizard in der GPMC aufrufen. 2. Auswahl des gewünschten Computers 3. Auswahl des gewünschten Benutzers 4. Analyse der Einstellungen (Tab Settings im rechten Fenster) 7.1 Group Policy Tools There are several tools that ship with Windows XP which make working with GPOs easier. A brief overview of some of these tools is provided in the following section. For more information on these tools, see the Help for Windows XP. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 76 Datum: 30. Nov. 2004

77 7.1.1 Forcing a Group Policy Update Mit dem Commandline-Tool gpupdate.exe kann die Anwendung der Policy auf einer Workstaion forsier werden. C:\Documents and Settings\administrator.MSSLAB>gpupdate /force Refreshing Policy... User Policy Refresh has completed. Computer Policy Refresh has completed. To check for errors in policy processing, review the event log. C:\Documents and Settings\administrator.MSSLAB> Werden benutzerbasierte Policies appliziert, muss der Benutzer ab- und wieder angemeldet werden. Computerbasierte Policies werden hingegen sofort angewendet Viewing the Resultant Set of Policies Mit dem MMC Snap-In RSoP.msc (Resultant Set of Policy) kann die exakte Anwendung der Policy eingesehen werden. Dasselbe kann mit dem Commandline-Tool gpresult.exe erreicht werden. 7.2 Administrative Tools Auf einer Workstation sind die Administrativen Tools resp. die MMC Snap-ins zur Administration der Domäne nicht vorhanden. Sie können aber leicht installiert werden. Einfach auf der gewünschten Workstation die Windwos 2003 Server CD einlegen und im i386-verzeichnis das Adminpak.msi aufrufen. Danach werden die Admin-Tools installiert und sind danach im Start-Menu unter Verwaltung zu finden. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 77 Datum: 30. Nov. 2004

78 7.3 Time Service Standardmässig synchronisieren alle Domain-Member die Zeit in der Domain. Dies ist die Grundlage für das Funktionieren von Kerberos und Auswertung von Log-Dateien. Die Zeitquelle ist dabei der PDC Emulator (Operation Master) in der Forest Root Domain. Diesen sollte man mit einer genauen Zeitquelle synchronisieren (z.b. NTP Zeitserver auf dem Internet). Wenn im Active Directory Users and Computers die Domäne mit der rechten Maustaste angeklickt und danach Operational Master angewählt wird, werden die Operations Masters für die jeweiligen Dienste angezeigt. Zeitsynchronisation mittels NTP über das Internet 1. Firewall Verbindungen für die entsprechenden Maschinen (keine Any-Rule) für UDP 123 (NTP) öffnen. 2. Eingabe des folgenden Befehls auf dem Kommandoprompt w32tm /config /syncfromflags:manual /manualpeerlist:time.ethz.ch,swisstime.ethz.ch 3. Um die Zeit sofort zu synchronisieren: w32tm /config /update 4. Im Event-Log kann die Funktion nachgeprüft werden. 7.4 Relevante Servicepacks und Hotfixes Siehe Datum KB Artikel Schwachstelle Risk January 13, Buffer Overrun in MDAC Function Could Allow Code Execution Nov 11, Cumulative Security Update for Internet Explorer Oct 15, Buffer Overrun in the ListBox and in the ComboBox Control Could Allow Code Execution Oct 15, Buffer Overrun in Windows Help and Support Center Could Lead to System Compromise Oct 15, Buffer Overrun in Messenger Service Could Allow Code Execution Oct 15, Vulnerability in Authenticode Verification Could Allow Remote Code Execution Sep 10, Buffer Overrun In RPCSS Service Could Allow Code Execution Sep 3, Flaw in NetBIOS Could Lead to Information Disclosure Jul 23, Unchecked Buffer in DirectX Could Enable System Compromise Jul 9, Buffer Overrun In HTML Converter Could Allow Code Execution GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 78 Datum: 30. Nov. 2004

79 Datum KB Artikel Schwachstelle Risk Jun 25, Flaw In Windows Media Player May Allow Media Library Access Automatischer Patch Check (MBSA) Um den Patchlevel automatisch zu checken, kann der MBSA (Microsoft Baseline Security Analyzer) benutzt werden. Damit nicht das ganze Tool auf den Server installiert werden muss, kann die Commandline Variante benutzt werden. Dazu installiert man das Tool auf einer Testmaschine und kopiert lediglich mbsacli.exe auf den zu testenden Server. Nachdem Aufruf auf der Kommandozeile wird der Link der Patch-Datenbank ausgegeben: Am besten lädt man sich die entsprechende Datei mit dem Browser herunter und entpackt das mssecure.cab File ins selbe Verzeichnis wie das mbsacli.exe. Danach kann mittels folgendem Aufruf den Patchlevel überprüft werden: C:\Program Files\Microsoft Baseline Security Analyzer>mbsacli /hf -x mssecure.xml Danach wird eine Liste der fehlenden Patches ausgegeben. GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 79 Datum: 30. Nov. 2004

80 7.5 Software Update Services (SUS) Die Software Update Services (SUS) sind ein neues Tool, das von Microsoft zur Verwaltung und Verteilung wichtiger Windows-Patches unter Microsoft Windows 2000, Windows XP und Windows Server entwickelt wurde. Dadurch kann die Sicherheit und Stabilität von Computerumgebungen erhöht werden. Das Tool bietet die Möglichkeit, die Implementierung von Sicherheitspatches und Aktualisierungen zu automatisieren und dadurch stets einen hohen Sicherheitsstandard für Netzwerke bereitzustellen. Software Update Service erspart zeitaufwändige Recherchen im Internet sowie manuelle Downloadvorgänge und die Verteilung von Patches innerhalb der Computerumgebung. Es wird empfohlen zwei SUS-Server aufzubauen. Einer für das Update der Testclients und Einer für das Update der produktiven Clients Installation und Konfiguration von SUS Der SUS wird am besten auf einen Memberserver (Windows 2000 oder 2003) installiert. Zur Administration wird ein IIS benötigt. Automatisch wird URLScan mitinstalliert und die Adminpages per Basic Auth Passwort geschützt. Es wird empfohlen die Adminpage mit SSL zu schützen und den IIS gemäss der entsprechenden Checkliste von Compass Security zu härten. Für eine genaue GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 80 Datum: 30. Nov. 2004

81 Anleitung wird auf die Dokumentation von Microsoft verwiesen. Nach der erfolgten Installation ist das Admin-Interface des SUS auf folgendem URL erreichbar: Die Konfigurations-Parameter sind unten aufgelistet: Parameter Synchronize server-synchronization Schedule Other Options-Set options-select a proxy server configuration Other Options-Set options-specify the name your clients use to locate this update server Other Options-Set options-select which server to synchronize content from Other Options-Set options-select how you want to handle new versions of previously approved updates Other Options-Set options-select where you want to store updates Other Options-Set options-select where you want to store updates (Languages) Einstellung Synchronize using this schedule At this time: 01:00 Daily Number of synchronization retries: 3 Damit dieser Server aus Ihrem Unternehmensnetz ins Internet eine Verbindung aufbauen kann, wird ev. ein Proxy benötigt. Angabe des NetBIOS-Namen des Servers (z.b. sus01) Hier wird angegeben ob dieser Server die Patches direkt vom Internet herunterlädt oder von einem anderen SUS. Es wird empfohlen alle Updates von Hand zu bestätigen. Save the updates to a local folder Die Patches sollen im lokalen Netzwerk vorhanden sein. Ansonsten müssen diese von jedem Client vom Internet herunter geladen werden. Nur die benötigen Sprachen auswählen. (German & English) Client Installation und Konfiguration (Windows Update) Windows Update wird seit Windows 2000 mit dem Betriebsystem ausgeliefert. Beim Einsatz mit SUS wird Windows Update einfach auf den entsprechenden SUS-Server umgebogen. Damit Windows Update mit dem SUS SP1 funktioniert ist eine aktualisierte Version nötig. Diese liegt beim SP3 für Windows 2000, SP1 für Windows XP und bei Windows 2003 bei. Die Konfiguration kann mit einer Policy bewerkstelligt werden. Die Konfiguration für den Domänenbetrieb wird unten beschrieben. Weitere Einzelheiten können wiederum der Anleitung von Microsoft entnommen werden. Im Domänenbetrieb kann eine Group Policy erstellt werden um die benötigten Konfigurationsparameter automatisch zu verteilen. Dazu wird eine neue Organization Unit erzeugt in welche alle Workstations verschoben werden. Auf dieser OU wird dann eine Group Policy erzeugt (Rechtsklick auf die OU Properties Group Policy). GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 81 Datum: 30. Nov. 2004

82 Folgende Einstellungen wurden erfolgreich getestet und als anwendbar befunden: Setting Options Description Configure Automatic Update Specify intranet Microsoft update service location Reschedule Automatic Updates scheduled installations No auto-restart for scheduled Automatic Updates installations Enabled - Auto download and schedule the install - Scheduled install date: Every Day - Scheduled install time: 12:00 Enabled - Intranet update service: Servername vom vorhergehenden Kapitel - Intranet statistics server: Servername vom vorhergehenden Kapitel Enabled - Wait after system startup: 5 min Enabled Hier wird festgelegt, dass die Patches automatisch vom SUS geladen werden und wann die Installation gestartet wird. Mit intranet statistics server wird ist derjenige IIS gemeint, bei welchem die aktuellen Client Status ins Log (Webserver) geschrieben werden. Schlägt ein Update fehl oder wird dieses vom Benutzer unterbrochen, wird der Update 5 min nach dem nächsten Reboot ausgeführt. Hiermit wird der Benutzer informiert, dass neue Patches eingespielt wurden und der Computer neu gestartet werden muss. Es erfolgt kein automatischen Reboot! GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 82 Datum: 30. Nov. 2004

83 7.5.3 Update-Vorgang 1. Der SUS lädt automatisch die Patches vom Microsoft Server herunter. 2. Ein Administrator überprüft und testet die Patches 3. Die Patches werden auf dem SUS Server freigegeben (approved) 4. Die SUS-Clients laden innerhalb der nächsten 24h die neuen Patches herunter GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 83 Datum: 30. Nov. 2004

84 5. Am darauf folgenden Mittag (12:00) werden die Patches auf den SUS-Clients installiert GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 84 Datum: 30. Nov. 2004

85 6. Dem Benutzer wird folgender Dialog angezeigt. 7. Im Logfile (C:\WINDOWS\system32\LogFiles\W3SVC1) des IIS (SUS) wurden folgende Einträge gemacht: :00: GET /wutrack.bin V=1&U=e55841af69afae fdcfcbd7a6&C=iu&A=n&I=&D=&P=5.1.a &L=de- DE&S=s&E= &M=&X= Industry+Update+Control :00: GET /wutrack.bin V=1&U=e55841af69afae fdcfcbd7a6&C=iu&A=n&I=&D=&P=5.1.a &L=de- DE&S=s&E= &M=&X= Industry+Update+Control Erzwingen des Updates Damit man nicht 24h auf das Update eines SUS-Clients warten muss wird im Folgenden einen Work-around beschrieben: How to Force an Update Detection of the AutoUpdate Client Date - 08 Feb 2003 During normal operations, the Automatic Update client will check-in to the SUS Server every 17 to 22 hours to detect approved updates. It is possible to force the detection process. Steps 1 Stop the "Automatic Updates" Service 2 Check that the "AUState" registry value, located at: HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\ is set to "2" 3 Delete the "LastWaitTimeout" registry value, located at: HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\ 4 Start the "Automatic Updates" Service. The Automatic Update client will begin the update detection process in approximately 10 minutes. If an admin-priv user is logged on they will be presented with the option to install any updates that downloaded, otherwise the computer will wait for the next scheduled install time. Quelle: GLÄRNISCHSTR. 7 POSTFACH 1671 CH-8640 RAPPERSWIL Tel Fax info@csnc.ch Seite: 85 Datum: 30. Nov. 2004